[go: up one dir, main page]

KR20240166328A - Method of detecting mail attacks according to social engineering techniques and mail system accordingly - Google Patents

Method of detecting mail attacks according to social engineering techniques and mail system accordingly Download PDF

Info

Publication number
KR20240166328A
KR20240166328A KR1020230064042A KR20230064042A KR20240166328A KR 20240166328 A KR20240166328 A KR 20240166328A KR 1020230064042 A KR1020230064042 A KR 1020230064042A KR 20230064042 A KR20230064042 A KR 20230064042A KR 20240166328 A KR20240166328 A KR 20240166328A
Authority
KR
South Korea
Prior art keywords
mail
information
email
social engineering
hacking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
KR1020230064042A
Other languages
Korean (ko)
Inventor
정희수
박우영
Original Assignee
(주)리얼시큐
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)리얼시큐 filed Critical (주)리얼시큐
Priority to KR1020230064042A priority Critical patent/KR20240166328A/en
Publication of KR20240166328A publication Critical patent/KR20240166328A/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/23Reliability checks, e.g. acknowledgments or fault reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명에 따르는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템은, 발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 메일 수신부; 상기 메일 수신부로부터의 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 신뢰메일을 분류하고 신뢰메일에 대한 메일정보를 출력하는 제1메일 처리부; 및 상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보를 제공받아 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과 동일한지를 체크하여 사회공학적 기법에 따른 해킹메일일 가능성일 있는 유효메일을 판별하는 제2메일 처리부;를 포함하는 것을 특징으로 한다. A mail system for detecting mail attacks using social engineering techniques according to the present invention is characterized by including: a mail receiving unit for receiving a mail transmitted by a sending mail system and outputting mail information; a first mail processing unit for receiving mail information from the mail receiving unit, checking whether it is a trustworthy mail according to an SPF policy, classifying the trustworthy mail, and outputting mail information about the trustworthy mail; and a second mail processing unit for receiving mail information about the trustworthy mail from the first mail processing unit, checking whether any of the account, identification information, and domain are identical to previously received mails, and determining a valid mail that may be a hacking mail using a social engineering technique.

Description

사회공학기법에 따른 메일공격을 탐지하는 방법 및 그에따른 메일 시스템{Method of detecting mail attacks according to social engineering techniques and mail system accordingly} Method of detecting mail attacks according to social engineering techniques and mail system accordingly

본 발명은 메일 보안 서비스 기술에 관한 것으로, 더욱 상세하게는 사회공학기법에 따른 메일공격으로 예측되는 메일을 탐지하여 메일공격으로 예측된 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호하는 사회공학기법에 따른 메일공격을 탐지하는 방법 및 그에따른 메일 시스템에 관한 것이다. The present invention relates to mail security service technology, and more specifically, to a method for detecting mail attacks using social engineering techniques, which detect mails predicted to be mail attacks using social engineering techniques and block mails predicted to be mail attacks from being delivered to mail users, thereby protecting good-intentioned mail users, and a mail system based on the method.

산업과 패러다임 변화속도가 급격해지면서 업무환경 또는 업무를 위한 시스템의 접근방법에 대한 방식이 많이 달라졌으며 클라우드 시스템을 통해 모든 데이터를 쉽게 공유하고 빠른 업무처리가 가능한 시대가 되었다. As the pace of change in industry and paradigms has rapidly increased, the way we approach work environments and work systems has changed significantly, and we have entered an era where all data can be easily shared and work can be processed quickly through cloud systems.

또한 포스트 코로나 시대임에 따라 비대면 업무의 활용성은 더욱 높아져 메일을 이용한 다양한 공격에 따른 피해사례가 급증하고 있다. In addition, as we enter the post-corona era, the use of non-face-to-face work has increased, and the number of damage cases due to various attacks using email is rapidly increasing.

이러한 문제를 해결하기 위해 메일 사용자의 개입이 없더라도 서버 시스템에서 안전한 메일과 위험한 메일을 자동으로 구분할 수 있도록 하는 기술이 개발되었으며, 그 대표적인 기술로는 SPF(Sender Policy Framework)와, DKIM(Domain Keys Identified Mail)와, DMARC(Domain-based Message Authentication) 등이 있다. To solve these problems, technologies have been developed that enable server systems to automatically distinguish between safe and dangerous mail without the intervention of mail users. Representative technologies include SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail), and DMARC (Domain-based Message Authentication).

상기 SPF는 메일 서버 등록제라고 불리는 것으로, 대다수 스팸 발송자가 자신의 신원을 감추기 위하여 발송자 주소나 전송 경로를 허위로 표기하거나 변경하는 경우가 많은 것에 착안하여 메일 서버 정보를 사전에 DNS에 공개 등록함으로써 수신자로 하여금 메일에 표시된 발송자 정보가 실제 메일 서버의 정보와 일치하는지를 확인할 수 있도록 하는 인증기술을 말한다. The above SPF is called the Mail Server Registration System. It is an authentication technology that allows recipients to verify that the sender information displayed in the email matches the information of the actual mail server by publicly registering mail server information in DNS in advance, considering that most spammers often falsify or change the sender address or transmission path in order to hide their identity.

그리고 상기 DKIM은 도메인 키 인증 메일이라고도 하며, 공개키/비밀키를 기반으로 하는 메일 인증 방식으로, 디지털 서명을 메일 헤더(Header)에 삽입하여 발신자가 위조되지 않았는지를 수신자 측에서 검증할 수 있도록 하는 인증기술을 말한다. And the above DKIM is also called domain key authentication mail, and is a mail authentication method based on public/private keys. It is an authentication technology that inserts a digital signature into the mail header so that the recipient can verify that the sender has not been forged.

그리고 상기 DMARC는, 상기 메일서버 등록제(SPF)와 도메인 키 인증메일(DKIM)을 활용하여 정당한 발신자인지 구분하는 인증기술로, 의심되는 메일을 처리후 리포팅을 보고 받을 수 있게 한 메일 인증 방식을 말한다. And the above DMARC is an authentication technology that uses the mail server registration system (SPF) and domain key authentication mail (DKIM) to distinguish between legitimate senders, and is a mail authentication method that allows you to report after processing suspicious mail.

상기한 바와 같이 메일 서비스를 통한 다양한 공격으로부터 선량한 메일 사용자를 보호하기 위한 다양한 기술이 제안되어 상용화되고 있음과 더불어 악의를 가진 해커 역시 다양한 방식의 메일공격을 시도하고 있다. As mentioned above, various technologies have been proposed and commercialized to protect good mail users from various attacks via mail services, and malicious hackers are also attempting various types of mail attacks.

상기의 메일공격중에는 인간의 심리현상 중에서도 신뢰를 이용한 피싱(Phishing), 파밍(pharming), 스미싱(smishing), 그리고 비싱(vishing)과 같은 비기술적인 수단의 보안공격이 특히 심화되고 있다. 이러한 방식의 해킹 기법을 사회공학적 해킹이라 한다. Among the above email attacks, non-technical security attacks such as phishing, pharming, smishing, and vishing that utilize trust in human psychological phenomena are particularly intensifying. This type of hacking technique is called social engineering hacking.

고도의 컴퓨터 기술을 필요로 하는 다른 해킹 분야와는 달리 사회공학적 해킹은 인간의 심리를 이용하므로, 아무리 기술적인 보안을 완벽히 하더라도 차단하기가 어려웠다. Unlike other types of hacking that require advanced computer skills, social engineering hacking exploits human psychology, making it difficult to block even with perfect technical security.

이에 해커는 이러한 특성을 악용하여 내부 시스템에 침투하기 위한 수단으로 사회공학적 해킹된 메일을 사용하였으며, 이러한 메일은 보안 인프라를 무력화시켜 수신자에게 쉽게 접근할 수 있게 하였다. 여기서, 상기 사회공학적 해킹된 메일은 인간의 신뢰를 악용하여 기존에 소통하던 계정과 유사하거나 친근한 계정으로 위조된 것이다. 더욱이 최근에는 기존에 소통하던 계정을 탈취하여 사용하기도 하였다. Hackers have exploited these characteristics to use social engineering hacked emails as a means to penetrate internal systems, and these emails have been used to neutralize security infrastructures, allowing easy access to recipients. Here, the social engineering hacked emails are forged to be similar or familiar accounts to existing communication accounts by exploiting human trust. Furthermore, they have recently hijacked existing communication accounts and used them.

상기의 메일은 모든 방법을 동원하여 공격 대상자의 정보를 수집하였고, 모든 정보를 교묘하게 이용하여 막대한 금액의 보안사고를 야기시키기도 하였다. The above email used every means at its disposal to collect information on the target of the attack, and cleverly used all of the information to cause a security breach worth a huge amount of money.

이에 종래에는 사회공학적 공격기법을 이용한 메일공격을 탐지하여 선의의 메일 사용자를 보호할 수 있는 기술의 개발이 절실하게 요망되었다. Accordingly, there has been an urgent need to develop a technology that can detect email attacks using social engineering techniques and protect innocent email users.

대한민국 특허등록번호 제10-2164338호Republic of Korea Patent Registration No. 10-2164338 대한민국 특허공개번호 제10-2016-0018218호Republic of Korea Patent Publication No. 10-2016-0018218

본 발명은 사회공학기법에 따른 메일공격으로 판단되는 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호하는 사회공학기법에 따른 메일공격을 탐지하는 방법 및 그에따른 메일 시스템을 제공하는 것을 그 목적으로 한다. The purpose of the present invention is to provide a method for detecting email attacks using social engineering techniques, which protects innocent email users by blocking emails determined to be email attacks using social engineering techniques from being delivered to email users, and a corresponding email system.

상기의 목적을 달성하기 위한 본 발명에 따르는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템은, 발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 메일 수신부; 상기 메일 수신부로부터의 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 신뢰메일을 분류하고 신뢰메일에 대한 메일정보를 출력하는 제1메일 처리부; 및 상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보를 제공받아 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과 동일한지를 체크하여 사회공학적 기법에 따른 해킹메일일 가능성일 있는 유효메일을 판별하는 제2메일 처리부;를 포함하는 것을 특징으로 한다. In order to achieve the above object, the present invention provides a mail system for detecting mail attacks using social engineering techniques, characterized by including: a mail receiving unit for receiving a mail transmitted by a sending mail system and outputting mail information; a first mail processing unit for receiving mail information from the mail receiving unit, checking whether it is a trustworthy mail according to an SPF policy, classifying trustworthy mails, and outputting mail information about the trustworthy mails; and a second mail processing unit for receiving mail information about the trustworthy mail from the first mail processing unit, checking whether any of the account, identification information, and domain are identical to previously received mails, and determining a valid mail that may be a hacking mail using social engineering techniques.

본 발명은 사회공학기법에 따른 메일공격으로 예측되는 메일을 탐지하여 메일공격으로 판단되는 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호할 수 있는 효과를 가진다. The present invention has the effect of protecting good-intentioned email users by detecting emails predicted to be email attacks using social engineering techniques and blocking emails determined to be email attacks from being delivered to email users.

도 1은 본 발명의 바람직한 실시예에 따르는 메일 시스템의 구성도.
도 2 및 도 3은 본 발명의 바람직한 실시예에 따르는 사회공학기법에 따른 메일 공격을 탐지하는 방법의 절차도. Figure 1 is a configuration diagram of a mail system according to a preferred embodiment of the present invention.
Figures 2 and 3 are flow charts of a method for detecting mail attacks using social engineering techniques according to a preferred embodiment of the present invention.

본 발명은 사회공학기법에 따른 메일공격으로 예측되는 메일을 탐지하여 메일공격으로 예측된 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호한다.The present invention detects emails predicted to be email attacks using social engineering techniques and blocks emails predicted to be email attacks from being delivered to email users, thereby protecting innocent email users.

이러한 본 발명의 바람직한 실시예에 따르는 사회공학기법에 따른 메일공격을 탐지하는 방법과 메일 시스템을 도면을 참조하여 상세히 설명한다. A method for detecting mail attacks using social engineering techniques and a mail system according to a preferred embodiment of the present invention are described in detail with reference to drawings.

<메일 시스템의 구성><Configuration of mail system>

도 1은 본 발명의 바람직한 실시예에 따르는 메일 시스템의 구성을 도시한 도면이다. 상기 도 1을 참조하면, 본 발명의 바람직한 실시예에 따르는 메일 시스템(100)은 메일 수신부(102)와 제1메일 처리부(104)와 제2메일 처리부(106)와 제3메일 처리부(108)와 데이터베이스(110)로 구성된다. FIG. 1 is a diagram illustrating the configuration of a mail system according to a preferred embodiment of the present invention. Referring to FIG. 1, a mail system (100) according to a preferred embodiment of the present invention is composed of a mail receiving unit (102), a first mail processing unit (104), a second mail processing unit (106), a third mail processing unit (108), and a database (110).

상기 메일 수신부(102)는 발신측 메일 시스템(200)과 네트워크를 통해 연결되어 상기 발신측 메일 시스템(200)과 SMTP(Simple Mail Transfer Protocol) 등의 메일 송수신 프로토콜에 따라 통신을 이행하여 메일을 수신한다. The above mail receiving unit (102) is connected to the sending mail system (200) through a network and receives mail by communicating with the sending mail system (200) according to a mail transmission/reception protocol such as SMTP (Simple Mail Transfer Protocol).

상기 메일 수신부(102)는 상기 발신측 메일 시스템(200)으로부터 메일이 수신되면, 상기 수신된 메일에 대한 메일정보를 제1메일 처리부(104)에 제공한다. When the above mail receiving unit (102) receives mail from the sending mail system (200), it provides mail information about the received mail to the first mail processing unit (104).

상기 제1메일 처리부(104)는 상기 메일 수신부(102)가 제공하는 메일정보를 수집하여 SPF 정책이나 수신허용 메일주소록 등을 토대로 신뢰메일과 비신뢰메일로 분류하고, 상기 신뢰메일에 대해서는 제2메일 처리부(106)에 제공하며, 상기 비신뢰메일에 대해서는 차단한다. The first mail processing unit (104) collects mail information provided by the mail receiving unit (102) and classifies it into trusted mail and untrusted mail based on the SPF policy or the allowed mail address book, and provides the trusted mail to the second mail processing unit (106) and blocks the untrusted mail.

상기 제2메일 처리부(106)는 신뢰메일에 대한 메일정보를 제공받아 메일정보 및 메일헤더를 처리하여 기존에 수신하였던 메일과 어느 하나라도 일치하는 메일인 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일들을 판별하고, 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일들은 분류하여 데이터베이스(110)에 저장한다. The second mail processing unit (106) receives mail information on trusted mail, processes the mail information and mail headers, and determines valid mails that may be hacking mails based on social engineering techniques, that is, mails that match at least one previously received mail, and classifies valid mails that may be hacking mails based on social engineering techniques and stores them in a database (110).

또한 상기 제2메일 처리부(106)는 상기 제3메일 처리부(108)의 스케쥴러를 호출하여 상기 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일들에 대한 처리를 요청한다. In addition, the second mail processing unit (106) calls the scheduler of the third mail processing unit (108) to request processing of valid mails that may be hacking mails according to the social engineering technique.

그리고 상기 제3메일 처리부(108)는 상기 제2메일 처리부(106)의 요청에 따라 스케줄러를 활성화하고, 상기 스케줄러에 의해 설정된 시기가 되면 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일들에 대한 메일리스트를 메일 관리자의 단말기 등으로 전송하고, 상기 메일 관리자의 단말기로부터의 요청에 따라 상기 유효메일을 메일 이용자에게 제공하거나 해킹메일 신고시스템으로 제공하여 해킹메일임을 신고한다. And the third mail processing unit (108) activates the scheduler at the request of the second mail processing unit (106), and when the time set by the scheduler arrives, transmits a mail list of valid mails that may be hacking mails using social engineering techniques to the mail manager's terminal, and provides the valid mails to the mail user or provides them to the hacking mail reporting system at the request of the mail manager's terminal to report that they are hacking mails.

그리고 상기 데이터베이스(110)는 상기 메일 시스템(100)이 제공하는 메일 서비스를 위한 데이터 저장소를 제공한다. And the above database (110) provides a data storage for the mail service provided by the above mail system (100).

이제 상기의 메일 시스템에 적용가능한 사회공학기법에 따른 메일 공격을 탐지하는 방법의 절차를 도면을 참조하여 설명한다. Now, the procedure for detecting mail attacks using social engineering techniques applicable to the above mail system is explained with reference to the drawings.

<사회공학기법에 따른 메일 공격을 탐지하는 방법의 절차><Procedures for detecting email attacks using social engineering techniques>

도 2 및 도 3은 본 발명의 바람직한 실시예에 따르는 사회공학기법에 따른 메일 공격을 탐지하는 방법의 절차를 도시한 것이다. 상기 도 2를 참조하면, 상기 메일 시스템(100)의 제2메일 처리부(106)는 제1메일 처리부(104)가 SPF 정책, 수신허용 메일주소록 등을 토대로 신뢰메일로 분류한 메일정보를 제공하면(300단계), 상기 메일정보에 포함된 메일발신정보(MailFrom)를 체크하여(302단계), 이전에 수신된 메일에 대한 정보들과 계정 및 식별정보 및 도메인 중 어느 하나라도 동일한 메일인지를 체크하고(304,306,308단계), 상기 계정 및 식별정보 및 도메인 중 어느 하나라도 동일하면, 상기 제2메일 처리부(106)는 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일로 분류하여 데이터베이스(102)에 저장한다(318단계). 이와 달리 상기 메일정보에 포함된 메일발신정보(MailFrom)를 체크하여 이전에 수신된 메일에 대한 메일정보들과 계정 및 식별정보 및 도메인이 모두 상이하면, 상기 제2메일 처리부(106)는 상기 메일정보의 헤더정보를 체크하여(310단계), 이전에 수신된 메일에 대한 메일정보들과 계정 및 식별정보 및 도메인 중 어느 하나라도 동일한 메일인지를 체크하고(312,314,316단계), 상기 계정 및 식별정보 및 도메인 중 어느 하나라도 동일한 메일이면, 즉 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일로 분류하여 데이터베이스(102)에 저장한다(318단계).FIGS. 2 and 3 illustrate a procedure of a method for detecting mail attacks using social engineering techniques according to a preferred embodiment of the present invention. Referring to FIG. 2, when the second mail processing unit (106) of the mail system (100) provides mail information classified as trusted mail based on an SPF policy, an allowed recipient mail address book, etc. by the first mail processing unit (104) (step 300), the second mail processing unit (106) checks the mail sending information (MailFrom) included in the mail information (step 302) and checks whether any of the information on previously received mails and any of the account, identification information, and domain are the same mail (steps 304, 306, and 308). If any of the account, identification information, and domain are the same, the second mail processing unit (106) classifies the valid mail as possibly being a hacking mail using a social engineering technique and stores it in the database (102) (step 318). In contrast, if the mail sender information (MailFrom) included in the above mail information is checked and the account, identification information, and domain are all different from those of the mail information for previously received mails, the second mail processing unit (106) checks the header information of the mail information (step 310) and checks whether any of the account, identification information, and domain are the same mail as those of the mail information for previously received mails (steps 312, 314, and 316). If any of the account, identification information, and domain are the same mail, the second mail processing unit (106) classifies the mail as a valid mail that may be a hacking mail using a social engineering technique and stores it in the database (102) (step 318).

상기 제2메일 처리부(106)는 상기 메일정보에 포함된 메일발신정보(MailFrom) 및 헤더정보에 기록된 계정 및 식별정보 및 도메인이 모두 상이하면, 상기 메일정보에 따른 메일을 차단한다(320단계). The above second mail processing unit (106) blocks mail according to the mail information if the mail sender information (MailFrom) included in the above mail information and the account, identification information, and domain recorded in the header information are all different (step 320).

상기 도 3을 참조하면 상기 메일 시스템(100)의 제3메일 처리부(108)는 스케줄러 정보를 독출하여 미리 정해둔 시기가 도래하면(400,402단계), 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일정보를 데이터베이스(110)에서 독출한다(406단계). Referring to the above Figure 3, the third mail processing unit (108) of the mail system (100) reads out scheduler information and, when a predetermined time arrives (steps 400 and 402), reads out valid mail information that may be hacking mail according to a social engineering technique from the database (110) (step 406).

이후 상기 제3메일 처리부(108)는 상기 유효메일정보에 속한 메일들 각각에 대해 정보를 독출하고, 메일들 각각에 대해 발신정보가 기존에 수신처리한 수신메일의 발신정보와 모두 동일한 메일. 즉 발신정보를 탈취하여 생성한 해킹메일일 가능성이 있는 경우에는 해당 메일의 수신여부에 대한 확정을 관리자 단말기 등을 통해 관리자에게 요청한다(412). 상기의 요청에 따라 관리자가 해당 메일을 검토하여 정상메일로 판단하는 경우에는 상기 관리자 단말기를 통해 상기 제3메일 처리부(108)로 메일 수신을 요청하고, 해킹메일로 판단하는 경우에는 상기 관리자 단말기를 통해 상기 제3메일 처리부(108)로 해킹메일 처리를 요청할 수 있다. 상기 제3메일 처리부(108)는 상기 관리자 단말기를 통해 관리자가 메일의 수신처리를 요청하면, 해당 메일을 정상메일로 판단하여 메일 이용자에의 메일함으로 제공한다(412단계). 상기한 바와 달리 관리자가 해당 메일에 대해 해킹메일 처리를 요청하면 사회공학적기법에 따른 해킹메일로 판단하여 차단 및 신고 등의 해킹메일 처리를 이행한다(410단계).Thereafter, the third mail processing unit (108) reads information about each of the mails belonging to the valid mail information, and if the sender information of each of the mails is identical to the sender information of the previously processed received mail, i.e., if there is a possibility that the mail is a hacking mail created by stealing the sender information, it requests the administrator to confirm whether the mail has been received through the administrator terminal, etc. (412). If the administrator reviews the mail according to the request and determines that it is a normal mail, the administrator can request the third mail processing unit (108) to receive the mail through the administrator terminal, and if the administrator determines that it is a hacking mail, the third mail processing unit (108) can request hacking mail processing through the administrator terminal. If the administrator requests the reception processing of the mail through the administrator terminal, the third mail processing unit (108) determines that the mail is a normal mail and provides it to the mailbox of the mail user (step 412). Unlike the above, if the administrator requests that the email be processed as a hacking email, it is determined to be a hacking email using social engineering techniques and hacking email processing such as blocking and reporting is performed (step 410).

또한 상기 제3메일 처리부(108)는 상기의 408단계에서, 메일들 각각에 대해 발신정보가 기존에 수신처리한 수신메일의 발신정보와 일부 동일한 메일. 즉 발신정보를 일부 변형한 메일인 경우에는 사회공학적기법에 따른 해킹메일로 판단하여 차단 및 신고 등의 해킹메일 처리를 이행한다(410단계).In addition, the third mail processing unit (108) determines, in step 408, that each mail has a part of the same sender information as the sender information of a previously processed received mail, i.e., a mail with a part of the sender information modified, as a hacking mail using a social engineering technique, and performs hacking mail processing such as blocking and reporting (step 410).

상기의 본 발명에서는 관리자에 의한 확인과정을 통해 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일에 대해 해킹메일과 정상메일을 판별하는 것만을 예시하였으나, 메일내용이 기존에 수신하였던 메일내용과 미리 정해둔 비율이상 동일한 경우나, 메일내용에 링크정보가 포함된 경우나, 메일에 실행명령이 포함된 파일이 첨부된 경우에 해당 메일을 해킹메일로 판별할 수 있으며, 이는 본 발명에 의해 당업자에게 자명하다. 여기서, 상기 메일내용이 기존에 수신하였던 내용과 미리 정해둔 비율이상 동일한 경우에는 탈취한 수신메일을 변형하여 해킹메일을 생성한 경우이다. The above invention only exemplifies the determination of hacking emails and normal emails through a verification process by an administrator regarding valid emails that may be hacking emails using social engineering techniques. However, if the content of the email is identical to the content of previously received emails by a predetermined ratio or more, if the content of the email includes link information, or if a file including an execution command is attached to the email, the email can be determined to be a hacking email, which is obvious to those skilled in the art by the present invention. Here, if the content of the email is identical to the content of previously received email by a predetermined ratio or more, it means that the hacking email has been created by modifying a hijacked received email.

위에서 설명된 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경 및 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 본 특허청구범위에 속하는 것으로 보아야 할 것이다.The embodiments of the present invention described above are disclosed for the purpose of illustration, and those skilled in the art will appreciate that various modifications, changes, and additions may be made within the spirit and scope of the present invention, and such modifications, changes, and additions should be considered to fall within the scope of the present claims.

100 : 메일 시스템
102 : 메일 수신부
104 : 제1메일 처리부
106 : 제2메일 처리부
108 : 제3메일 처리부100 : Mail System
102: Mail receiving section
104: 1st mail processing unit
106: Second mail processing unit
108: Third Mail Processing Unit

Claims (8)

발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 메일 수신부;
상기 메일 수신부로부터의 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 신뢰메일을 분류하고 신뢰메일에 대한 메일정보를 출력하는 제1메일 처리부; 및
상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보를 제공받아 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과 동일한지를 체크하여 사회공학적 기법에 따른 해킹메일일 가능성일 있는 유효메일을 판별하는 제2메일 처리부;를 포함하는 것을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템. A mail receiving unit that receives mail sent by the sender's mail system and outputs mail information;
A first mail processing unit that receives mail information from the above mail receiving unit, checks whether it is a trustworthy mail according to the SPF policy, classifies trustworthy mail, and outputs mail information for the trustworthy mail; and
A mail system for detecting mail attacks using social engineering techniques, characterized by including a second mail processing unit that receives mail information about trusted mail from the first mail processing unit and checks whether any of the account, identification information, and domain are identical to previously received mails, thereby determining a valid mail that may be a hacking mail using social engineering techniques. 제1항에 있어서,
미리 정해둔 주기마다 상기 유효메일을 관리자 단말기로 제공하고, 상기 관리자 단말기로부터 제공되는 해킹메일과 정상메일 판단정보에 따르는 메일수신처리 또는 해킹메일처리요청에 따라 상기 유효메일을 해킹메일 또는 정상메일로 처리하는 제3메일 처리부;를 더 포함함을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템. In the first paragraph,
A mail system for detecting mail attacks using social engineering techniques, characterized by further including a third mail processing unit that provides the above valid mail to an administrator terminal at predetermined intervals and processes the valid mail as a hacking mail or normal mail according to a mail reception processing request or hacking mail processing request based on the hacking mail and normal mail judgment information provided from the administrator terminal. 제1항에 있어서,
상기 제2메일 처리부가,
상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보가 제공되면, 상기 메일정보의 메일발신정보(MailFrom)에 기록된 계정 및 식별정보 및 도메인이, 이전에 수신된 메일에 대한 메일정보들에 포함된 계정 및 식별정보 및 도메인과 어느 하나라도 동일한지 여부를 토대로 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일을 판별함을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템. In the first paragraph,
The above second mail processing unit,
A mail system for detecting mail attacks using social engineering techniques, characterized in that when mail information for trusted mail is provided from the first mail processing unit above, a valid mail that is likely to be a hacking mail using social engineering techniques is determined based on whether any of the account, identification information, and domain recorded in the mail sending information (MailFrom) of the mail information is identical to any of the account, identification information, and domain included in mail information for previously received mail. 제1항에 있어서,
상기 제2메일 처리부가,
상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보가 제공되면, 상기 메일정보의 헤더정보에 기록된 계정 및 식별정보 및 도메인이, 이전에 수신된 메일에 대한 메일정보들에 포함된 계정 및 식별정보 및 도메인과 어느 하나라도 동일한지 여부를 토대로 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일을 판별함을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템. In the first paragraph,
The above second mail processing unit,
A mail system for detecting mail attacks using social engineering techniques, characterized in that when mail information for trusted mail is provided from the first mail processing unit, a valid mail that is likely to be a hacking mail using social engineering techniques is determined based on whether any of the account, identification information, and domain recorded in the header information of the mail information is identical to any of the account, identification information, and domain included in mail information for previously received mail. 발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 단계;
상기 메일 수신부로부터의 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 신뢰메일을 분류하고 신뢰메일에 대한 메일정보를 출력하는 단계; 및
상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보를 제공받아 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과 동일한지를 체크하여 사회공학적 기법에 따른 해킹메일일 가능성일 있는 유효메일을 판별하는 단계;를 포함하는 것을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 방법. A step of receiving an email sent by the sender's email system and printing out the email information;
A step of receiving mail information from the above mail recipient, checking whether it is a trustworthy mail according to the SPF policy, classifying trustworthy mail, and outputting mail information for the trustworthy mail; and
A method for detecting mail attacks using social engineering techniques, characterized by including a step of receiving mail information on trusted mail from the first mail processing unit and checking whether any of the account, identification information, and domain are identical to previously received mails to determine whether the valid mail is likely to be a hacking mail using social engineering techniques. 제5항에 있어서,
미리 정해둔 주기마다 상기 유효메일을 관리자 단말기로 제공하고, 상기 관리자 단말기로부터 제공되는 해킹메일과 정상메일 판단정보에 따르는 메일수신처리 또는 해킹메일처리요청에 따라 상기 유효메일을 해킹메일 또는 정상메일로 처리하는 단계;를 더 포함함을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 방법.In paragraph 5,
A method for detecting an email attack using a social engineering technique, characterized by further including a step of providing the valid email to an administrator terminal at predetermined intervals, and processing the valid email as a hacking email or a normal email according to an email reception processing request or a hacking email processing request based on the hacking email and normal email judgment information provided from the administrator terminal. 제1항에 있어서,
상기 유효메일의 판별은,
상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보가 제공되면, 상기 메일정보의 메일발신정보(MailFrom)에 기록된 계정 및 식별정보 및 도메인이, 이전에 수신된 메일에 대한 메일정보들에 포함된 계정 및 식별정보 및 도메인과 어느 하나라도 동일한지 여부를 토대로 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일을 판별함을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 방법. In the first paragraph,
The above determination of valid email is as follows:
A method for detecting mail attacks using social engineering techniques, characterized in that when mail information for trusted mail is provided from the first mail processing unit, a valid mail that is likely to be a hacking mail using social engineering techniques is determined based on whether any of the account, identification information, and domain recorded in the mail sender information (MailFrom) of the mail information is identical to any of the account, identification information, and domain included in mail information for previously received mail. 제1항에 있어서,
상기 유효메일의 판별은,
상기 제1메일 처리부로부터 신뢰메일에 대한 메일정보가 제공되면, 상기 메일정보의 헤더정보에 기록된 계정 및 식별정보 및 도메인이, 이전에 수신된 메일에 대한 메일정보들에 포함된 계정 및 식별정보 및 도메인과 어느 하나라도 동일한지 여부를 토대로 사회공학적 기법에 따른 해킹메일일 가능성이 있는 유효메일을 판별함을 특징으로 하는 사회공학기법에 따른 메일공격을 탐지하는 메일 시스템. In the first paragraph,
The above determination of valid email is as follows:
A mail system for detecting mail attacks using social engineering techniques, characterized in that when mail information for trusted mail is provided from the first mail processing unit, a valid mail that is likely to be a hacking mail using social engineering techniques is determined based on whether any of the account, identification information, and domain recorded in the header information of the mail information is identical to any of the account, identification information, and domain included in mail information for previously received mail.
KR1020230064042A 2023-05-17 2023-05-17 Method of detecting mail attacks according to social engineering techniques and mail system accordingly Pending KR20240166328A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230064042A KR20240166328A (en) 2023-05-17 2023-05-17 Method of detecting mail attacks according to social engineering techniques and mail system accordingly

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230064042A KR20240166328A (en) 2023-05-17 2023-05-17 Method of detecting mail attacks according to social engineering techniques and mail system accordingly

Publications (1)

Publication Number Publication Date
KR20240166328A true KR20240166328A (en) 2024-11-26

Family

ID=93704106

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230064042A Pending KR20240166328A (en) 2023-05-17 2023-05-17 Method of detecting mail attacks according to social engineering techniques and mail system accordingly

Country Status (1)

Country Link
KR (1) KR20240166328A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018218A (en) 2014-08-08 2016-02-17 김충한 E-mail recieving system and mail sending system
KR102164338B1 (en) 2020-02-11 2020-10-28 (주)리투인소프트웨어 E-mail Security System to Prevent Sender Impersonation and Method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018218A (en) 2014-08-08 2016-02-17 김충한 E-mail recieving system and mail sending system
KR102164338B1 (en) 2020-02-11 2020-10-28 (주)리투인소프트웨어 E-mail Security System to Prevent Sender Impersonation and Method thereof

Similar Documents

Publication Publication Date Title
KR101476611B1 (en) Electronic message authentication
AU2008207926B2 (en) Correlation and analysis of entity attributes
US8756289B1 (en) Message authentication using signatures
US10050917B2 (en) Multi-dimensional reputation scoring
KR101137089B1 (en) Validating inbound messages
US20080175226A1 (en) Reputation Based Connection Throttling
US20100313253A1 (en) Method, system and process for authenticating the sender, source or origin of a desired, authorized or legitimate email or electrinic mail communication
US20070130350A1 (en) Web Reputation Scoring
US20070130351A1 (en) Aggregation of Reputation Data
US20090300128A1 (en) E-mail authentication protocol or map
WO2008091984A1 (en) Detecting image spam
US20050251861A1 (en) System and method for preventing delivery of unsolicited and undesired electronic messages by key generation and comparison
US8209538B2 (en) Email policy manager
CN116436663B (en) Mail attack detection method
US20230007011A1 (en) Method and system for managing impersonated, forged/tampered email
KR20240166328A (en) Method of detecting mail attacks according to social engineering techniques and mail system accordingly
Cook et al. Phishwish: a simple and stateless phishing filter
US20240056466A1 (en) Computerized system for analysis and of electronic communication systems
KR102684949B1 (en) Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly
Chauhan et al. Effectiveness of anti-spoofing protocols for email authentication
US11916873B1 (en) Computerized system for inserting management information into electronic communication systems
KR102562346B1 (en) Mail system for classifing normal mail among mails from unknown sources and methods accordingly
US20240214336A1 (en) Computerized system for dynamic image inclusion in an electronic message
US20240054214A1 (en) Computerized system for autonomous detection of unauthorized access according to outbound addresses
Iwanaga et al. Evaluation of anti-spam method combining bayesian filtering and strong challenge and response

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000